据项目方称,基于Sui的收益交易协议Nemo因已知漏洞导致损失约259万美元,该漏洞源于未经审计的代码被部署上线。
根据Nemo对9月7日被黑事件的事后分析,一项旨在减少滑点的函数存在缺陷,使攻击者能够更改协议状态。该函数名为“get_sy_amount_in_for_exact_py_out”,在未经过智能合约审计机构Asymptotic审计的情况下被部署到链上。
此外,Asymptotic团队在初步报告中已识别出该问题,但Nemo团队承认“未能及时充分解决这一安全隐患”。
部署新代码时,仅需单一地址签名。开发人员可以在未披露变更内容的情况下,将未经审计的代码部署上线。此外,他未在部署时使用审计中提供的确认哈希,违反了既定流程。
这并非首次出现本可轻松防止的被黑事件。此前,NFT交易平台SuperRare在7月底因基础智能合约漏洞遭遇73万美元攻击,专家表示若采用标准测试流程本可轻易避免该漏洞。
安全程序更改为时已晚
存在漏洞的代码于1月初被部署上线。直到4月,团队才引入了能够防止未经审计代码上线的升级流程。
尽管流程已升级,漏洞已经进入生产环境。Asymptotic于8月11日曾警告Nemo该漏洞,项目方表示,当时专注于其他问题,未能在攻击发生前解决。
Nemo暂停协议,准备补丁
分析显示,Nemo协议核心功能现已暂停,以防止进一步损失。团队正在与多家安全团队合作,并提供所有相关地址以协助中心化交易所冻结资产。
团队已开发完成补丁,Asymptotic正在对新代码进行审计。项目方表示,已移除闪电贷功能,修复了存在漏洞的代码,并新增手动重置功能以恢复受影响的数值。Nemo还在设计用户补偿方案,包括在代币经济层面的债务结构设计。
“核心团队正在制定详细的用户补偿计划,包括在代币经济学层面的债务结构设计。”
Nemo向用户致歉,并表示已认识到“安全与风险管理需要持续警惕”。团队承诺将提升防御能力,实施更严格的协议管控。